为什么要做等级保护?等级保护2.0是什么?时代新威·等级保护小组1为什么要做等级保护?2什么是等保2.0?3等保2.0有哪些不变?目录CONTENTS为什么要做等级保护?01请输入您的标题满足法律法规的要求企业自身安全的需要满足行业门槛、甲方的要求为什么做等级保护?第一,满足法律法规的要求。2017年6月1日颁布的《网络安全法》第21条明确要求,网络运营者要履行等级保护制度义务,其中网络运营者,是指网络的所有者、管理者和网络服务提供者;第二,满足行业准入的门槛或甲方的要求。在医疗、教育、交通、能源、电信、等等关键信息基础设施行业,都要求本行业内的从业单位要满足等保的要求,如金融行业内部有明确的《金融行业网络安全等级保护测评指南》并且2020年11月还发发布了最新版本、教育行业的移动APP系统上架前要求满足等保测评、国家卫生健康委对三级医院评审标准中也明确了等级保护的规定等等。有些甲方单位,更是要求其供应商的业务系统满足等保测评的要求,才能开展合作;第三,企业提升自身安全的要求。我国的等级保护拥有完整的安全标准体系,按照等级保护的安全体系要求来进行企业信息安全建设,是目前最佳实践也是企业的最佳可参考的选择。什么是等保2.0?02等保1.0回顾在开始讲等保2.0之前,让我们先回顾一下等保1.0。等保1.0发布距今已经有10多年的时间,在这些日子里,网络安全也越来越被人们所重视。在1.0的初期,企业只要有安全意识,能开始做等保,开始测评就已经很不错了;到了中期,整体防护,渗透测试,合规开始等于安全。行业等级保护全面开展,等保开始逐渐的深入人心;再到1.0的后期,无论是企业层面还是国家层面,都更注重实质性的安全。主动防御、态势感知、攻防对抗等安全手段开始流行,云安、大数据、工控安全和移动安全开始占领主要趋势。等保1.0普及了等保概念,强化了安全意识,从单个系统到部门、到行业,再到上升到国家层面从合规到攻防对抗,整体提升了网络安全保障能力技术并且不断进行人才的积累,这些都对等保2.0提供了有力的支撑。等保2.0是什么?等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。等保2.0有哪些不变?03请输入您的标题第一级:自主保护级第二级:指导保护级第三级:监督保护级第四级:强制保护级第五级:专控保护级1.五个级别不变2.规定动作不变定级备案建设整改测评监督3.主体职责不变等级保护的主体职责为:网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。等保2.0有哪些变化?近年来,随着信息技术的发展和网络安全形势的变化,等保1.0要求已无法有效应对新的安全风险和新技术应用所带来的新威胁,等保1.0被动防御为主的防御无法满足当前发展要求,因此急需建立一套主动防御体系。等保2.0适时而出,从法律法规、标准要求、安全体系、实施环节等方面都有了变化。1.标准依据的变化从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法,其中《中华人民共和国网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。因此不开展等级保护等于违法。2.标准要求变化等级2.0在1.0基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。通用要求方面,等保2.0标准...
VIP
